Définir le filtre et les critères d’agrégation pour AWS Security Hub l’ingestion des résultats

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • Vous pouvez définir et définir des conditions de filtre afin de pouvoir spécifier les résultats entrants devant créer des incidents de sécurité. Vous pouvez également définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un résultat entrant à un incident de sécurité ouvert au lieu de créer un autre incident de sécurité pour le même résultat.

    Définir les conditions de filtrage des conclusions afin AWS Security Hub de créer des incidents de sécurité

    Définissez les conditions de filtrage de sorte que les incidents de sécurité ne soient créés que lorsque les conditions de filtrage correspondent.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ce type de filtrage vous aide à isoler les incidents de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seuls les résultats requis sont ingérés sans avoir à modifier la requête ou la configuration de l’incident déclenché.

    Procédez comme suit pour définir les critères qu’un résultat entrant AWS Security Hub doit satisfaire pour qu’un incident de sécurité soit créé :

    Procédure

    1. Sélectionnez Appliquer le pré-filtrage dans la section Pré-filtrage.

      Vous pouvez utiliser cette option pour filtrer des résultats spécifiques et réduire la charge de l’ingestion des résultats.

      Dans le champ Filtre d’API , entrez une condition JSON selon vos besoins qui filtre les résultats spécifiques en fonction de la condition. Par exemple, saisissez la valeur suivante pour filtrer les résultats dont l’état du workflow est Résolu dans Security Hub :
      {"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}

      En fonction de la condition fournie, AWS Security Hub les résultats sont ingérés et affichés dans la table brute des AWS Security Hub résultats.

      Accédez à la Tous > Intégration des résultats AWS Security Hub > Résultat brut AWS Security Hub pour afficher les données brutes des résultats.

    2. Dans la section Sélectionner les champs de recherche pour les conditions de filtre, sélectionnez Afficher les champs de recherche disponibles pour afficher une liste de tous les champs disponibles dans un AWS Security Hub résultat.
      Dans la liste Tous les champs de résultat , sélectionnez les champs de résultat que vous souhaitez afficher dans la section Conditions de génération d’incident de sécurité.
      Remarque :
      Un résultat AWS Security Hub contient plusieurs champs et valeurs. Dans la liste Tous les champs de résultat , vous pouvez rechercher un champ de recherche selon vos besoins et le sélectionner.
    3. Dans la section Conditions de génération d’incidents de sécurité, sélectionnez Filtre basé sur les conditions pour définir les critères qu’un résultat entrant AWS Security Hub doit satisfaire pour qu’un incident de sécurité soit créé.

      Le premier champ des conditions de filtre contient une liste par défaut de deux cents champs disponibles sur un AWS Security Hub résultat et les champs de recherche que vous avez sélectionnés dans la section Sélectionner les champs de recherche pour les conditions de filtre.

      Le deuxième champ des conditions de filtre contient des opérateurs conditionnels. L’option que vous choisissez détermine la condition qui doit être remplie pour ingérer un résultat.

      Le troisième champ des conditions de filtre contient des valeurs prises en charge par les champs de recherche disponibles. Vérifiez que le champ de résultat que vous saisissez correspond aux valeurs des résultats.

      Par exemple, utilisez la condition de filtre contenant plusieurs valeurs pour les champs suivants :
      • Workflow(Status)
      • WorkflowState
    4. À l’aide des listes et des champs du générateur de conditions, définissez les filtres de la première ligne.
    5. Pour ajouter plus de conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
    6. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

    Résultats

    En fonction des conditions de filtrage, AWS Security Hub les résultats sont importés dans SIR. Accédez à la Tous > Intégration des résultats AWS Security Hub > Importation des résultats AWS Security Hub pour afficher les résultats importés.

    Définir les conditions pour regrouper AWS Security Hub les résultats dans un incident de sécurité

    Définissez des critères d’agrégation d’incidents supplémentaires qui regroupent un résultat entrant AWS Security Hub à un incident de sécurité SIR existant au lieu de créer des incidents similaires potentiellement en double. Lorsque vous utilisez des critères de correspondance de champ pour chaque profil, cette agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’incidents connexes sur un seul incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Si un nouvel incident correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, l’incident est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher tous les incidents agrégés ajoutés sur une liste connexe sur un incident de sécurité.

    Tous les résultats agrégés AWS Security Hub sur un incident de sécurité sont affichés dans la AWS Security Hub liste connexe. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi AWS Security Hub les résultats s’ajoutent aux incidents de sécurité existants.

    Procédure

    1. Pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un résultat entrant AWS Security Hub à un incident de sécurité ouvert au lieu de créer un nouvel incident, sélectionnez l’option Conditions d’agrégation .
    2. Dans le champ Champs d’incident avec valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que les critères d’agrégation soient remplis et que cet incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition ET dans laquelle des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, leur sont mappés. Si seul un sous-ensemble des valeurs correspond, les conditions d’agrégation AWS Security Hub des résultats ne sont pas remplies et un nouvel incident de sécurité est créé.
    3. Pour ajouter plusieurs conditions de correspondance de champ, cliquez sur Ajouter un nouveau critère.
      L’agrégation se produit si l’une des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OU .
    4. Pour mettre à jour la note de travail d’un nouveau résultat lorsqu’il est ajouté à un incident de sécurité, sélectionnez Enregistrer la note de travail pour le nouveau résultat.

      La note de travail indique qu’un nouveau résultat est ajouté et comprend un lien vers les détails du résultat. La note de travail du journal met également à jour les détails supplémentaires que vous ajoutez au champ Note de travail dans votre section de mappage.

    5. Pour configurer le calendrier, cliquez sur Continuer.

    Résultats

    En fonction des conditions d’agrégation, AWS Security Hub les résultats sont regroupés pour créer un SIR incident. Accédez à la Tous > Intégration des résultats AWS Security Hub > Résultat à Tâche AWS Security Hub pour afficher la liste des incidents de sécurité qui ont été créés.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données de recherche et la recherche d’incidents qui correspondent aux critères du profil.